Un nuevo ciberataque extorsiona a más de 350 organizaciones... los 'hackers' piden 70 millones

Más de 350 organizaciones de todo el mundo sufrieron este fin de semana un ciberataque de ransomware, y se teme que los sistemas informáticos de muchas de ellas, incluidas las 800 tiendas físicas de la cadena de supermercados sueca Coop que se han visto obligadas a cerrar porque no funcionaban sus cajas registradoras, tarden semanas en recuperarse, según aseguraron ayer expertos en ciberseguridad.

El ciberataque, creado por un grupo de cibercriminales conocido como REvil, explotó el sistema de actualización de la empresa de software de servicios de TI Kaseya para propagar y ocultar el ransomware. Los piratas informáticos comprometieron los sistemas de esta empresa y el malware se filtró a sus revendedores hasta llegar a los clientes finales que utilizan su software.

Los operadores de REvil publicaron en su blog que más de un millón de dispositivos habían sido infectados. y el domingo por la noche exigieron 70 millones de dólares en bitcóins para proporcionar un desencriptador universal y restaurar los datos de las empresas.

“Se trata de uno de los ataques criminales de ransomware de mayor alcance que Sophos haya visto. En este momento, nuestros tests muestran que más de 70 proveedores de servicios gestionados se han visto afectados, lo que significa que más de 350 organizaciones están afectadas”, señaló Ross McKerchar, director de Seguridad de Información de Sophos, que añadió que hay víctimas por todo el mundo, aunque la mayor parte están en EE UU, Alemania y Canadá.

La empresa de ciberseguridad ESET subió la cifra de empresas afectadas hasta las 1.000, y aseguró que entre ellas se encuentra alguna compañía española, aunque no reveló nombres. Según los datos facilitados por esta empresa, Kaseya cuenta con más de 40.000 clientes a nivel global y el pago solicitado a cada víctima del ataque es distinto, llegando a 5 millones de dólares la cantidad más elevada que algunos investigadores aseguran haber visto.

“Como muchas veces hemos mencionado, la cifra de los rescates solicitados por los atacantes varía de acuerdo con la empresa afectada, siendo generalmente las cifras más elevadas exigidas a compañías que cuentan con mayores ganancias”, añadió esta compañía, que apunta que, según algunos expertos, este ataque solo cifró los archivos de las víctimas y no robó información previa al cifrado para extorsionar a las mismas.

Si bien muchas tiendas de la empresa Coop (una de las pocas víctimas identificadas) permanecieron cerradas el lunes, otras abrieron sus puertas y permitieron a los clientes pagar mediante una aplicación llamada Escanear y pagar, según informó Reuters. “No creo que hayamos visto nada a esta gran escala antes”, dijo Anders Nilsson, director de tecnología de ESET Nordics. “Esta es la primera vez que vemos una tienda de alimentación que no ha podido procesar los pagos. y esto demuestra lo vulnerables que somos”, añadió el directivo.

El nuevo ciberataque no hace más que echar leña al fuego. En España, el SEPE y el Ministerio de Trabajo sufrieron recientemente ataques de ransomware, pero entre los casos más sonados a nivel global está el sufrido en EE UU en mayo por la empresa Colonial Pipeline, cuando un grupo de hackers denominados DarkSide, obligaba al cierre preventivo de la mayor red de oleoductos del país poniendo en peligro el suministro de combustible para gran parte de EE UU. El 60% de las gasolineras de Atlanta, el 65% de las de Carolina del Norte y el 43% de las de Georgia se quedaron sin gasolina. Poco después, otro ciberataque también obligó a cancelar en EE UU turnos de trabajo en los mataderos de la empresa brasileña JBS, especializada en procesamiento de carne. Colonial Pipeline llegó a pagar 5 millones de dólares y JBS hasta 11 millones para recuperar la normalidad en sus operaciones.

Los últimos sucesos, que han impactado especialmente sobre organizaciones estadounidenses, han llevado al Gobierno de Joe Biden a tratar los ataques de ransomware con la misma gravedad que el terrorismo. Biden ha ordenado a las agencias de inteligencia estadounidenses que investiguen quién está detrás de este nuevo ciberataque. En otros anteriores, las autoridades de EE UU apuntaron a piratas informáticos rusos y el presidente estadounidense advirtió recientemente a su homólogo ruso Vladimir Putin de las consecuencias si estos ataques de ransomware continúan proliferando.